Menu

Magento-Update: Checkout als Einfallstor als kritische Lücke geschlossen

Mario Lengauer
Mario Lengauer
Gerade der Checkout eines Shopsystems gehört zu den wichtigsten Bereichen eines jeden Onlineshops, da dort die sensiblen Zahlungsdaten der Kunden ausgetauscht werden. Aus diesem Grund steht dieser Bereich auch immer wieder im Fokus von möglichen Angreifern. Bei entsprechenden Angriffen können beispielsweise Kreditkarten-Daten abgegriffen werden, die später im sogenannten Dark-Web verkauft werden. Dieses sogenannte Skimming rückte in den letzten Jahren verstärkt ins Rampenlicht. Laut aktuellen Berichten von Magento gibt es eine kritische Lücke im Checkout-Prozess der Community-, als auch der Enterprise Edition. Je nach Bezahlmethode könne ein Angreifer einen eigenen PHP-Code in den Checkout-Prozess integrieren und auch ausführen. Deshalb empfiehlt Magento die sichere Version der Community Edition 1.9.3 und der Enterprise Edition 1.14.3 zu installieren. Dieser Fehler weist einen CVSSv3 Score von 9.8 von 10 auf. Die Sicherheitsupdates schließen gleich mehrere Lücken, wobei zwei davon als kritisch klassifiziert wurden. In Summe werden damit 17 Sicherheitslücken geschlossen. Auch das Skimming soll mit diesem Update drastisch erschwert werden. Die zweite kritische Lücke ist ein Bug im Zend Framework, welchen Angreifer für eine SQL-Attacke ausnutzen könnten. Der Zugriff dafür könnte über das Admin-Backend von Magento sein.
Back to top:
Anmeldung zum mStage E-Commerce Newsletter

Nach Ihrer Anmeldung erhalten Sie ein E-Mail mit einem Link zur Bestätigung (bitte ggf. Spam-Ordner prüfen).

Schreiben Sie uns eine Nachricht.

Wir freuen uns auf ein gemeinsames Gespräch.